Giả mạo cơ quan an ninh Đức để phát tán mã độc Smoke Loader

(Không gian mạng) - Theo cảnh báo của hãng bảo mật Malwarebytes (Mỹ) trong báo cáo ngày 12/01, tội phạm mạng đang lợi dụng sự quan tâm của lượng lớn người dùng về các lỗi hệ thống Meltdown và Spectre gần đây để lừa họ cài đặt mã độc.

5.logs.smoke.loader-17-05-2012 13-07-55

Xuất hiện từ đầu tháng 01/2018, Meltdown và Specter là hai phương pháp tấn công qua kênh mới nhắm vào bộ vi xử lý hiện đại và được cho là ảnh hưởng đến hàng tỷ thiết bị. Đây là các lỗ hổng ở cấp CPU, cho phép các ứng dụng độc hại truy cập vào dữ liệu khi đang được xử lý, bao gồm mật khẩu, ảnh, tài liệu, email và những thứ tương tự.

Các nhà cung cấp và hãng sản xuất chip đã được cảnh báo về lỗi này trong năm 2017, và một số hãng bắt đầu làm việc để gửi bản vá lỗi cho người dùng cách đây vài tháng, nhưng chờ đợi một tiết lộ phối hợp được lên kế hoạch công bố trong tuần trước. Apple, Microsoft, Google, Canonical và IBM là vài trong số các nhà cung cấp đã triển khai bản vá lỗi.

Tuy nhiên, ngay sau khi bản vá bắt đầu được đưa ra, các cuộc tấn công cũng đã lợi dụng cơn sốt Meltdown/Spectre. Một trong số đó là các cuộc tấn công mạng đang nhắm tới người dùng Đức để phát tán mã độc SmokeLoader, theo báo cáo của Malwarebytes.

Cuộc tấn công được phát hiện ngay sau khi chính quyền Đức đưa ra một cảnh báo về sự xuất hiện của các email lừa đảo đang cố gắng lợi dụng các lỗ hổng khét tiếng này.

Các email giả mạo đến từ Văn phòng Bảo mật Thông tin của Liên bang Đức (BSI), và Malwarebytes phát hiện ra một tên miền cũng được đặt trông giống như trang web BSI. Trang web lừa đảo này được đăng ký gần đây và được bảo vệ bởi chứng chỉ SLL nhưng không liên kết với một cơ quan chính phủ hợp pháp hoặc chính thức nào, và tìm cách lừa người dùng cài đặt phần mềm độc.

Trang web này đề xuất cho người dùng một trang thông tin cung cấp các đường dẫn đến các tài nguyên về Meltdown và Spectre, nhưng liên kết đến một tập tin nén ZIP (Intel-AMD-SecurityPatch-11-01bsi.zip) có chứa phần mềm độc hại thay vì bản vá bảo mật như thông báo.

Sau khi người dùng tải và chạy tập tin, mã độc SmokeLoader, có khả năng tải và chạy các payload bổ sung, sẽ được cài đặt. Các nhà nghiên cứu đã quan sát thấy SmokeLoader cố gắng kết nối với các tên miền khác nhau và gửi đi thông tin được mã hóa.

Bằng cách phân tích chứng chỉ SSL được tên miền giả mạo này sử dụng, các nhà nghiên cứu bảo mật phát hiện ra các thứ khác liên kết với tên miền .bid, bao gồm một mẫu tiếng Đức cho bản cập nhật Adobe Flash Player giả mạo.

Các nhà nghiên cứu bảo mật đã liên lạc với Comodo và CloudFlare để báo cáo về trang web lừa đảo này và tên miền đã ngừng xử lý trong vài phút sau khi CloudFlare được thông báo về vấn đề.

“Tội phạm trực tuyến thường khét tiếng trong việc lợi dụng các sự kiện công bố và khai thác chúng nhanh chóng, thông thường là thông qua các chiến dịch lừa đảo. Chiến dịch này đặc biệt thú vị bởi vì mọi người được yêu cầu sử dụng một bản vá, đó cũng chính xác là những gì tin tặc ngụy trang để đề nghị với người dùng”, Malwarebytes kết luận.

Lâm Quang Dũng (Lược dịch từ: Bleeping Computer)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm: Tin nóng trong ngày, Chỉ đạo của Thủ tướng
Theo dõi Thủ tướng qua Facebook
Thích và chia sẻ bài này trên:
Tweet
Tags: an ninh mạng, an ninh thông tin, bảo mật, chiến tranh mạng, DDOS, hacker, internet of thing, IoT, Không gian mạng, kỷ nguyên an ninh mạng, lỗ hổng bảo mật, Luật an ninh mạng, mã độc, ransomware, tấn công mạng, thế giới phẳng, tin tặc, tin tặc tấn công, Tình báo mạng, tội phạm công nghệ cao, tội phạm mạng, vũ khí công nghệ, vũ khí tin học
Nguồn: nguyenxuanphuc.org